Allgemein

Hardware Hashes für Autopilot Registrierung zentral erfassen

18. August 2023 von Thomas Froitzheim

Windows Autopilot bietet die Möglichkeit, neue Geräte in Intune automatisch einzurichten und konfigurieren zu lassen. Hierdurch lassen sich die manuellen Schritte beim Onboarding neuer Geräte auf ein Minimum reduzieren oder sogar vollständig vermeiden. Ein in Autopilot registriertes Endgerät lässt sich zudem zentral aus der Ferne zurücksetzen.

Einleitung

Um ein Gerät für die Verwendung mit Autopilot zu registrieren, muss die eindeutige ID (der Hardwarehash) des Gerätes vorab bekannt sein. Der Hardwarehash ist auf jedem Windows Computer hinterlegt und kann z. B. mittels einer WMI-Abfrage ermittelt werden. Möglicherweise kann bereits der Hardwarelieferant die Hashes in Form einer CSV-Datei zusammen mit neu erworbenen Geräten übermitteln oder gar die Registrierung in Intune direkt vornehmen. In manchen Fällen ist es jedoch so, dass Endgeräte bereits in Umlauf sind, die im Laufe der Zeit manuell in Intune eingebucht worden sind. In diesem Fall kann das nachträgliche Ermitteln der Hashes zur Herausforderung werden. Das hier beschriebene Verfahren zeigt eine Möglichkeit auf, die Hashes von bereits in Intune sichtbaren Endgeräten zentral einzusammeln und für die Autopilotregistrierung zu nutzen.

Konzept

Das Einsammeln der Hardwarehashes erfolgt hier über die Installation eines Intune Application Packages. Dabei handelt es sich nicht um eine Installation im eigentlichen Sinne, da keine Dateien auf dem Endgerät installiert werden. Stattdessen ermittelt das Installationsprogramm auf dem Endgerät die Seriennummer sowie den Hardware-Hash und legt diese Daten in Form einer CSV-Datei in einem Dateishare innerhalb eines Azure Storage Accounts zentral ab.

Das Speichern der Hashwerte erfolgt in Form von .csv Dateien, wobei für jedes Gerät eine neue Datei angelegt wird, um den konkurrierenden Zugriff auf eine einzelne Datei zu vermeiden. Die einzelnen Dateien können später jedoch sehr einfach zu einer einzelnen Datei zusammengeführt werden.

Für den Zugriff auf den Azure Storage Share verwendet die Hardware Hash Collector App einen SAS Token, der über die Installationskommandozeile an das App Package übergeben wird.

Umsetzung

In diesem Abschnitt soll die Umsetzung der angedachten Lösung erläutert werden.

Storage Account

Zum Speichern der Hardwarehashes wird ein Azure Storage Account benötigt, der über das Azure Portal mit diesen Schritten angelegt werden kann:

Storage accounts | Create
Subscription | Resource group | Region wählen
Beliebigen, eindeutigen Storage acount name vergeben
Kostengünstigste Redundancy wählen
Review
Create
Go to resource

File Share anlegen

Innerhalb des Storage Accounts muss nun ein File Share mit diesen Schritten erzeugt werden:

File shares

File share
Eindeutigen Name vergeben und kostengünstigen Tier wählen
Create
Properties des gerade angelegten File Share auswählen

Nun die URL in die Zwischenablage kopieren und zur späteren Verwendung sichern

SAS-Token erzeugen

Für den Zugriff auf den FileShare wird eine Shared Access Signature (SAS) benötigt, die wie folgt angelegt werden kann:

Shared access signature wählen

Alle Allowed resource types auswählen
Sinnvolles expiry date wählen
Generate SAS and connection string

Generiertes SAS token in die Zwischenablage kopieren und sichern, da es später benötigt wird

Intune Application Package

Das eigentliche Ermitteln und Speichern des Hardwarehash geschieht mit Hilfe einer Application, die über Intune bereitgestellt und verteilt wird. Dabei handelt es sich nicht im engeren Sinne um eine Application, die auf dem Endgerät tatsächlich installiert wird, vielmehr besteht das Package aus einem Installationsskript, das einmalig ausgeführt wird. Zur Laufzeit des Skripts wird der Hashwert des Gerätes exportiert und zentral gespeichert. Zusätzlich wird ein Wert in der Windows Registry des Endgeräts angelegt, der für die erforderliche DetectionRule des Intune Application Package verwendet wird.

Vorbereiten der Intune Application

Wesentlicher Inhalt des Application Package ist ein PowerShell Skript namens Export-Hash.ps1, dessen Skriptcode hier aufgeführt ist.

[CmdletBinding()]

Param (

[Parameter(Mandatory=$true)]

[string]$TargetURL,

[Parameter(Mandatory=$true)]

[string]$SasToken

)

# Collect data

$computer = New-Object PSObject

$win32Bios = Get-CimInstance -Class Win32_BIOS

$devDetail = Get-CimInstance -Namespace root/cimv2/mdm/dmmap -Class MDM_DevDetail_Ext01 -Filter „InstanceID=’Ext‘ AND ParentID=‘./DevDetail'“

$hash = „“

if ($devDetail)

{

$hash = $devDetail.DeviceHardwareData

}

$computer | Add-Member -MemberType NoteProperty -Name „Device Serial Number“ -Value $win32Bios.SerialNumber

$computer | Add-Member -MemberType NoteProperty -Name „Windows Product ID“ -Value „“

$computer | Add-Member -MemberType NoteProperty -Name „Hardware Hash“ -Value $hash

# Write data to CSV file

$tempFolderPathName = Join-Path $env:TEMP -ChildPath „CollectAutoPilotInfo“

If(-not (Test-Path -Path $tempFolderPathName))

{

New-Item -Path $tempFolderPathName -ItemType Directory

}

$dataFileName = Join-Path -Path $tempFolderPathName -ChildPath „$($env:COMPUTERNAME).csv“

$computer | ConvertTo-Csv -NoTypeInformation -Delimiter „,“ | % {$_.Replace(‚“‚,“)} | Out-File $dataFileName -Force

# Upload CSV file

$url = $TargetUrl

If(-not ($SasToken.StartsWith(„?“)))

{

$url += „?“

}

$url += $SasToken

Start-Process -FilePath „azcopy.exe“ -ArgumentList „copy $dataFileName `“$url`““

# Register successful application deployment for detection method to work.

$appRegistryKey = „HKLM:\SOFTWARE\Iteracon\Apps\HardwareHashCollector“

If(-not (Test-Path -Path $appRegistryKey))

{

New-Item -Path $appRegistryKey -Force

}

New-ItemProperty -Path $appRegistryKey -Name „Version“ -Value „1.0“ -Force

Zur Laufzeit des Skripts wird zusätzlich AzCopy von Microsoft benötigt, das zusammen mit der oben dargestellten Skriptdatei in das Intune Application Package aufgenommen wird. Mehr zu AzCopy und der Möglichkeit zum Download des Tools findet man hier: https://learn.microsoft.com/de-de/azure/storage/common/storage-use-azcopy-v10.

Die Skriptdatei Export-Hash.ps1 sowie AzCopy.exe wird mit Hilfe des Microsoft Win32 Content Prep Tool zu einer .intunewin Datei konvertiert. Die Vorgehensweise hierzu wird als bekannt vorausgesetzt und hier nicht näher erläutert. Ausführliche Informationen zu diesem Thema findet man jedoch hier: https://learn.microsoft.com/de-de/mem/intune/apps/apps-win32-prepare .

Intune Package erstellen

Die Vorgehensweise des Anlegens eines Intune Win32 Application Package wird ebenfalls als bekannt angenommen, nähere Informationen dazu sind hier zu finden: https://learn.microsoft.com/de-de/mem/intune/apps/apps-win32-add.

Beim Anlegen der Application sind folgende Parameter zu berücksichtigen. Die Werte für <File Share URL> und <SAS Token> bei der Konstruktion des Install Command sind dabei durch die entsprechenden Werte zu ersetzen, die sich beim Anlegen des Storage Account und des File Share ergeben haben, siehe oben. Die beiden Werte müssen jeweils in doppelte Anführungszeichen gesetzt werden.

App Information
Name	Hardware Hash Collector
Version	1.0
Publisher	ITERACON
Program
Install command	PowerShell.exe -ExecutionPolicy Bypass -File .\Export-Hash.ps1 -TargetURL „<File Share URL>“ -SasToken „<SAS Token>“
Uninstall command	–
Install behavior	System
Detection Rules
Rules format	Manually configure detection rules
Rule Type	Registry
Key Path	HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\iteracon\Apps\HardwareHashCollector
Value Name	Version
Detection method	Version comparison
Operator	Greater than or equal to
Value	1.0

Die so erstellte Application wird nun allen Geräten als required zugewiesen und damit die Verteilung gestartet. Nach und nach werden dann die Hardwarehashes in Form von .csv Dateien in dem zuvor bereitgestellten Azure Storage File Share abgelegt, von wo aus sie auf einen Adminrechner heruntergeladen werden können. Dies kann z. B. mit dem Microsoft Azure Storage Explorer erfolgen:

Die eingesammelten .csv Dateien können entweder einzeln in Intune importiert, besser jedoch mit Hilfe dieser beiden PowerShell Befehle zu einer einzelnen Datei zusammengeführt und dann importiert werden:

MD .\Merged

Get-ChildItem -Filter *.csv | Select -ExpandProperty FullName | Import-Csv | Export-Csv .\Merged\Autopilot.csv -NoTypeInformation -Append

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.